Las cookies de terceros tienen muchos usos, pero también son un factor clave para habilitar el seguimiento en sitios.
Las cookies de terceros pueden bloquearse debido a restricciones del navegador, parámetros de configuración del usuario, marcas del desarrollador o políticas empresariales.
Tu sitio o servicio debe proporcionar una excelente experiencia a todos tus usuarios, ya sea que las cookies de terceros estén disponibles o no.
En esta página, encontrarás información sobre las soluciones que preservan la privacidad para situaciones integradas que tradicionalmente se basaron en cookies de terceros, así como estrategias para ayudarte a elegir la solución que mejor se adapte a tus necesidades.
Los servicios incorporados incluyen contenido de terceros (como videos y mapas), componentes interactivos (como sistemas de chat y comentarios, o servicios de pago), servicios de acceso y mucho más.
La mayor parte del trabajo para la transición de las cookies de terceros debe realizarlo los desarrolladores de elementos incorporados, en lugar de los sitios que los alojan. En esta guía, se analizarán principalmente las soluciones para los desarrolladores que crean servicios integrados.
Si tu sitio depende de una incorporación que usa cookies de terceros, asegúrate de auditar y probar los recorridos relacionados con la incorporación, y comunícate con los proveedores de incorporaciones si detectas alguna falla.
Audita y prueba los recorridos del usuario relacionados con la integración
La mejor manera de determinar si tus elementos incorporados se ven afectados por las cookies de terceros es probar los flujos de usuarios de tus elementos incorporados de terceros con la marca de prueba de cookies de terceros habilitada.
Una vez que hayas restringido las cookies de terceros, prueba estas situaciones comunes de incorporación:
- Widgets de chat: ¿Pueden iniciar una sesión de chat? ¿Puedes actualizar la página sin perder tu sesión? ¿Puedes navegar a otras páginas y mantener tu sesión?
- Incorporación de contenido: ¿Puedes ver contenido de video o algún otro contenido incorporado? ¿Se mantienen las preferencias del usuario, como el idioma o los subtítulos? ¿Ves anuncios cuando se espera, por ejemplo, no los ves como suscriptor premium?
- Acceso: ¿Funcionan los accesos, incluidos los accesos de inicio de sesión único (SSO), para las incorporaciones que los admiten? ¿Se conservan cuando se vuelven a cargar las páginas y se navega a páginas que usan las mismas incorporaciones?
- Widgets de comentarios: ¿Puedes dejar comentarios, indicar que te gustan y votar a favor de ellos?
- Soluciones de pago integradas: ¿Puedes completar pagos correctamente?
En las siguientes secciones, encontrarás información más específica sobre cómo se podrían ver afectados esos flujos.
Casos de uso habituales
Existen varias APIs que se pueden usar para las incorporaciones que tradicionalmente dependían de las cookies de terceros. En la siguiente tabla, se enumeran algunos flujos de trabajo comunes y las APIs recomendadas para usar como resumen de alto nivel. En las siguientes secciones, se explicará el razonamiento detrás de estas recomendaciones.
| Caso de uso | API recomendada para el uso de cookies de terceros |
|---|---|
| Widget de chat | CHIPS |
| Incorporaciones de mapas | CHIPS |
| Dominios de zona de pruebas para contenido de usuarios no confiables (como googleusercontent.com y githubusercontent.com) que necesitan un estado con alcance por editor |
CHIPS |
| Anuncios incorporados que necesitan un alcance de estado por publicador | CHIPS |
| Accede a través de un proveedor de identidad | FedCM |
| Se incorporan en orígenes diferentes, pero relacionados. | API de Storage Access con conjuntos de sitios web relacionados |
| Incorporaciones de contenido con preferencias basadas en el acceso (como contenido de video sin anuncios o preferencias de idioma o subtítulos) |
API de Storage Access |
| Widget de comentarios en redes sociales que requiere acceso | API de Storage Access |
Elige la API adecuada para los casos de uso de terceros integrados
En esta sección, se explica cómo elegir una API alternativa adecuada y se describen las APIs recomendadas.
El siguiente diagrama de flujo te ayuda a elegir entre las opciones disponibles:
El diagrama de flujo hace tres preguntas principales, que analizaremos con más detalle, y explica por qué se recomienda una API determinada en cada caso.
1. ¿Las cookies son específicas del sitio de incorporación?
Muchas incorporaciones de terceros se usan de forma independiente en sitios completamente no relacionados. Por ejemplo, los widgets de chat para la atención al cliente suelen requerir cookies para funcionar, pero no necesitan compartir estas cookies entre dos organizaciones completamente diferentes que usan la misma solución de widget de chat. De hecho, en muchos de estos casos, la preferencia sería no permitir el uso compartido de cookies.
Si proporcionas un servicio de incorporación de terceros a otros sitios y este depende de las cookies, considera si esas cookies son específicas del servicio en el sitio en el que se incorporan. ¿Alguna vez se comparten por instancias de tu incorporación en otros sitios?
Si no es necesario compartir las cookies, la opción más sencilla es particionarlas con CHIPS. Esta API vincula las cookies de terceros al sitio de nivel superior, en lugar de permitir que todos los sitios que usan la misma incorporación de terceros las compartan. CHIPS es fácil de implementar, ya que solo requiere agregar un atributo Partitioned adicional a las cookies existentes. Esto permite que los servicios incorporados sigan guardando el estado, pero quita el almacenamiento compartido entre sitios que permitiría el seguimiento entre sitios.
Los sitios también deben verificar si las cookies se usan por los motivos correctos. Las cookies solo se deben usar cuando se configuran o cuando se deben enviar con solicitudes HTTP. Si este no es el caso y las cookies solo se usan como una opción de almacenamiento conveniente, se deben considerar las distintas APIs de almacenamiento. Esto mantiene los datos locales cuando no es necesario enviarlos. Las APIs de almacenamiento ya están particionadas en todos los navegadores principales, de manera similar a como CHIPS particiona las cookies.
2. ¿Las cookies son para un proveedor de identidad externo?
Un uso común de las cookies de terceros en las incorporaciones es proporcionar capacidades de acceso administradas por un proveedor de acceso de terceros, como Acceder con Google. En este caso, las cookies particionadas no son una opción.
Federated Credential Management (FedCM) es una API dedicada específicamente a este caso de uso y funciona sin cookies de terceros. Si el proveedor de identidad admite FedCM, esto puede eliminar la necesidad de usar cookies de terceros.
Puedes obtener más información para abordar los efectos de las cookies de terceros en los flujos de trabajo de acceso en la guía de identidad.
3. ¿Las cookies se usan en una pequeña cantidad de sitios relacionados?
Si ninguna de las opciones anteriores son reemplazos adecuados para las cookies, deberás volver a habilitar el acceso a las cookies de terceros para la incorporación. Esto se puede habilitar en casos de uso específicos y controlados con la API de Storage Access. Esta API vuelve a habilitar el acceso completo a las cookies de terceros (sujeto a controles), por lo que es la opción más potente. Por eso, se recomienda evitarlo si una alternativa más restrictiva sería suficiente.
Existen algunos requisitos para usar la API de Storage Access:
- El usuario debe haber visitado anteriormente el sitio de la integración en un nivel superior. Por ejemplo, si se incorpora un sistema de comentarios, el usuario también debe visitar el sitio de ese sistema de comentarios.
- El usuario debe interactuar con la integración antes de que se puedan compartir las cookies. Esto significa que es posible que no se pueda cargar el contenido incorporado completo antes de la interacción del usuario.
- Es posible que el usuario deba aprobar el uso compartido de cookies con una ventana emergente del navegador, en particular, en la primera instancia y periódicamente después.
- Es posible que el sitio de incorporación también deba establecer atributos adicionales de zona de pruebas.
Estas restricciones garantizan que la potente acción de volver a habilitar las cookies de terceros solo se realice cuando el usuario y el sitio lo esperan. Sin embargo, en ciertas situaciones, es posible que se omitan las acciones del usuario. Por ejemplo, si el usuario aprobó el acceso recientemente, es posible que no sea necesario volver a solicitarlo durante un período (según lo define el navegador).
Otro caso en el que es probable que el usuario espere esto es en los sitios relacionados. Por ejemplo, algunas organizaciones usan varios orígenes diferentes, que el navegador considera como entre sitios, por lo que el uso de cookies en ellos se considera de terceros. Entre los ejemplos, se incluyen marcas con sitios específicos de cada país (como example.com y example.co.uk) o sitios web específicos de la marca (como example.car y example.house).
En este caso, en el que hay una pequeña cantidad de sitios web relacionados, puedes usar los Conjuntos de sitios web relacionados. Los sitios se envían a Chrome para que sepa que están relacionados. Esto permite acceder a la API de Storage Access de una manera más fácil de usar, con menos mensajes para el usuario.
En el caso de los sitios web no relacionados que son terceros y en los que se requiere acceso completo a las cookies de terceros porque las APIs alternativas no son suficientes, el uso de la API de Storage Access estará sujeto a todos los requisitos y mensajes.
Comparación de las distintas APIs
Cada una de las soluciones tiene características y limitaciones ligeramente diferentes que las convierten en una mejor opción para ciertos casos de uso. En la siguiente tabla, se resumen las principales diferencias:
| CHIPS | Almacenamiento particionado | FedCM | API de Storage Access con conjuntos de sitios web relacionados | API de Storage Access | |
|---|---|---|---|---|---|
| El usuario no necesita haber accedido previamente al sitio de terceros incorporado como un sitio de nivel superior. | |||||
| No requiere que el usuario apruebe el acceso | |||||
| No requiere que el usuario interactúe con la integración | (También puede ser verdadero para los sitios incorporados con acceso de nivel superior). |
||||
| Esfuerzo de implementación | Muy baja | Baja | Alto | Medio | Medio |
| Se puede usar para compartir cookies en varios sitios o destinos de nivel superior | (Propuesta en debate.) |
||||
| Disponible en navegadores que no son de Chromium | (Se recurre a la API de Storage Access). |
Compatibilidad con casos de uso en todos los navegadores
La compatibilidad con el navegador es uno de los factores más importantes a la hora de decidir una solución, como se mencionó en la última línea de la tabla. Algunas de las APIs (CHIPS, FedCM y Conjuntos de sitios web relacionados) solo están disponibles en los navegadores Chromium. Actualmente, las únicas dos soluciones para varios navegadores son las APIs de almacenamiento particionado (cuando no se requieren cookies) y la API de Storage Access (cuando se requieren cookies).
Sin embargo, como se mencionó anteriormente, la API de Storage Access tiene varias restricciones que pueden afectar la experiencia del usuario en tu sitio web. El equipo de Chrome trabajó para agregar las otras APIs, que están diseñadas para satisfacer casos de uso específicos y brindar una experiencia similar a la que se podía obtener con las cookies de terceros. Por lo tanto, se recomienda considerar cuáles son las mejores opciones y tratarlas como mejoras progresivas, con una alternativa a la API de Storage Access para los navegadores que no la admiten.
Dado que las cookies se pueden bloquear por varios motivos (por ejemplo, la configuración del navegador o las extensiones), es posible que la detección de funciones de la compatibilidad con la API no sea suficiente. En cambio, lo mejor es probar si existen las cookies esperadas y, si no es así, recurrir al flujo de trabajo de la API de Storage Access para solicitar acceso a las cookies de terceros.
¡Toma medidas ahora!
Si tu integración de terceros ya no funciona sin el uso de cookies de terceros, hay varias soluciones disponibles que abordan el posible impacto, como se detalla en esta charla. Ahora es el momento de auditar tu servicio en busca de cookies de terceros.
Para quienes experimentan problemas con sus elementos incorporados ahora que Chrome está probando la eliminación de las cookies de terceros, existen varias opciones a corto plazo para obtener ayuda mientras migran a las alternativas que se describen en esta publicación. Consulta la documentación sobre cómo preservar las experiencias del usuario críticas para obtener más información.
Si tienes preguntas sobre casos de uso de la incorporación de contenido de terceros que no se abordan en esta guía, puedes crear un problema nuevo con la etiqueta "baja de las cookies de terceros" en nuestro repositorio de asistencia para desarrolladores.